|
5 p2 _" N( e4 ~+ Y0 [' d
本文章来自网络Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名Nginx是一款轻量级的Web 服务器/反向代理服务器,其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。 ( Y3 `) J1 }: ?( f; u0 h; q
下面我们就来详细介绍下nginx的常用配置,该配置均为我们生产环境中检验过的,大家可放心使用如在使用过程中遇到问题或者疑惑,可以在我们的网站下留言,我们会尽快回复一、主配置文件user nobody nobody; #nginx用户、用户组 8 h. n0 V! p5 `1 i( K
worker_processes 8; #开启8个工作进程worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000; #0001表示启用第一个CPU内核,0010表示启用第二个CPU内核,依此类推
1 w7 p) ^0 s* d8 i3 d# J: g error_log logs/error.log; #错误日志存放路径 #error_log logs/error.log notice;#error_log logs/error.log info;pid logs/nginx.pid; #pid文件存放路径
/ b; Y4 F, [* ?! N$ x1 H worker_rlimit_nofile 100000; #指定进程可以打开的最大描述符号,这个指令是指当一个nginx进程打开的最多文件描述符数量,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是很均匀,建议与ulimit -n的值保持一致。
5 d' U+ m# @/ `2 O0 Z 当然设置比ulimit -n大也可以,设置后你的操作系统和Nginx可以处理比ulimit -n更多的文件google_perftools_profiles /tmp/tcmalloc; # google-perftools中TCMalloc库在内存分配效率和速度上要高很多,这在很大程度上提高了服务器在高并发情况下的性能,从而降低系统负载 ; s" c6 X+ v) J% y; E8 \& |
events {use epoll; #使用epoll的I/O 模型linux建议epoll,FreeBSD建议采用kqueue#accept_mutex off; #multi_accept on;worker_connections 100000; #每个工作进程的最大连接数量。
1 g" U9 c$ }$ z+ R* l6 K 根据硬件调整,和前面工作进程配合起来用,尽量大,但是别把cpu跑到100%就行每个进程允许的最多连接数,理论上每台nginx服务器的最大连接数为worker_processes*worker_connections。
( Q! | h( J5 [; r) Y( `- W }http { #nginx代理http协议,还可以代理ftp/mail等协议 include mime.types; #设定mime类型,类型由mime.type文件定义default_type application/octet-stream;
1 l1 B% C$ T+ M c. K5 M% v log_format main $http_x_forwarded_for - "$upstream_cache_status" $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $remote_addr ; % T N9 {. |5 n' E, t# j9 c, o" [. I1 N
#log_format log1 $realip - "$upstream_cache_status" $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $remote_addr;
, }7 A" O, R) v% z9 e' \ #日志格式设置$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;$remote_user:用来记录客户端用户名称;$time_local: 用来记录访问时间与时区; 2 h3 N7 d/ {0 p8 ]
$request: 用来记录请求的url与http协议;$status: 用来记录请求状态;成功是200,$body_bytes_sent :记录发送给客户端文件主体内容大小;$http_referer:用来记录从那个页面链接访问过来的; 6 f, H2 E# ~6 }. M' \# q
$http_user_agent:记录客户浏览器的相关信息;通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。 ) E# x+ R4 e' P7 O
#access_log logs/access.log main;sendfile on; #使用高效的文件传输,可以让sendfile()发挥作用sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。 & d7 d0 A6 C, l7 v
Pre-sendfile是传送数据之前在用户空间申请数据缓冲区之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络sendfile()是立即将数据从磁盘读到OS缓存因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效。
! C4 v" X1 o, p( ], k* j! @8 ] tcp_nopush on; #防止TCP阻塞, 告诉nginx在一个数据包里发送所有头文件,而不一个接一个的发送 tcp_nodelay on; #告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。
7 ? K: q$ X0 ?1 z5 V0 \" ]5 Y% M server_tokens off; #彻底隐藏nginx版本号,提高安全性#charset utf-8;keepalive_timeout 75; #保持连接超时时间gzip on; #是否启用压缩功能,实时压缩输出数据流 / w6 v3 `4 l! j. n% T2 Q4 `
gzip_min_length 1k; #允许压缩的页面的最小字节数,建议设置成大于 1K 的字节数 ( 页面字节数从header 头的Content-Length 中获取的,默认值为 0 ,不管页面多大都进行压缩)
9 N; J3 j8 s$ Q: J- h0 l gzip_buffers 4 16k; # 申请4 个单位为 16K 的内存作为压缩数结果的缓存(默认是申请与原始数据大小相同的内存空间来存储gzip的压缩结果)gzip_http_version 1.0; #设置识别HTTP协议的版本,默认是1.1,大部分浏览器已经支持gzip解压。 / V# v b2 x( }! M2 W! V
gzip_comp_level 3; #设置压缩比(1 压缩比最小,9 压缩比最大)gzip_types text/plain application/x-javascript text/css text/javascript application/x-httpd-php image/jpeg image/gif image/png application/xml; #指定压缩的类型(无论是否指定, "text/html" 类型一定是会被压缩的) 8 e% ~" g. U5 I& m( O; `' ?& U" G
#gzip_vary on; #可以让前端缓存服务器缓存经过 gzip 压缩的页面,如:Squidserver_names_hash_bucket_size 128; #保存服务器名字的hash表是由指令
9 n7 p2 l& [+ Y6 X server_names_hash_max_size 和server_names_hash_bucket_size所控制的参数hash bucket size总是等于hash表的大小,并且是一路处理器缓存大小的倍数。
# }: s+ u, L9 m* c 在减少了在内存中的存取次数后,使在处理器中加速查找hash表键值成为可能如果hash bucket size等于一路处理器缓存的大小,那么在查找键的时候,最坏的情况下在内存中查找的次数为2第一次是确定存储单元的地址,第二次是在存储单元中查找键 值。
- v5 r% U7 X: m5 y7 q2 h7 K# p) A 因此,如果Nginx给出需要增大hash max size 或 hash bucket size的提示,那么首要的是增大前一个参数的大小.fastcgi_intercept_errors on; #这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。 6 U/ v+ g( x0 T( t3 u% s T5 N
client_max_body_size 50m; #允许客户端请求的最大单文件字节数client_body_buffer_size 512k; #指定用户请求体所使用的buffer的最大值client_header_buffer_size 32k; #设置用户请求头所使用的buffer大小 ' M1 H9 I/ X s; X+ }
large_client_header_buffers 4 32k; #注意:(1)对绝大多数请求来说,1k足以满足请求头所需的buffer;(2)对于携带有较大cookie或来自于wap用户的请求头来说,1k的buffer一般不够,这时可以使用指令 / ^6 w9 i3 h6 r( N( Q8 o
large_client_header_buffers#proxy_ignore_client_abort on;proxy_connect_timeout 10s; #nginx跟后端服务器连接超时时间(代理连接超时)。
+ U: n. a* ]* b2 H) f# t proxy_read_timeout 60s; #连接成功后,后端服务器响应时间(代理接收超时)proxy_send_timeout 60s; #后端服务器数据回传时间(代理发送超时)proxy_buffer_size 16k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
( E! e4 `8 }6 @0 t1 z3 @/ H proxy_buffers 4 64k; # proxy_buffers缓冲区,网页平均在64k以下的话,这样设置proxy_busy_buffers_size 128k; #高负荷下缓冲大小proxy_temp_file_write_size 128k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
5 V/ K8 a* `5 x/ v" ~ j proxy_temp_path /dev/shm/nginx_temp_mem; #代理缓存目录open_file_cache max=204800 inactive=20s; #这个将为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。
/ G( F8 N% m5 a open_file_cache_min_uses 1; # open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个文件在inactive时间内一次没被使用,它将被移除
6 x. R/ @: r8 p& B open_file_cache_valid 30s; #这个是指多长时间检查一次缓存的有效信息#limit_req_zone $binary_remote_addr zone=allips:10m rate=5r/m; #速率限制。 " i1 k5 g$ Y1 [+ b' d
#limit_req_zone $http_x_forwarded_for zone=allips:100m rate=1r/m;server {server_name _; #defaultreturn 403;
`4 f4 n+ R! K. |9 V/ S: O: m# c access_log off;} #禁止IP直接访问80端口或者禁止非本站的域名绑定我们的IP################# demoproject #################### include nginx-demo.conf; #虚拟主机配置,每个虚拟主机写个单独配置文件,便于管理 ! L$ d% w2 q" a
} 二、子配置文件[user@www conf]$ cat nginx-demo.confproxy_temp_path /dev/shm/nginx_temp_mem; # 指定存放的缓存目录proxy_cache_path /dev/shm/nginx_cache_mem/www levels=2:2 keys_zone=cache_nginx_www:200m max_size=5000m inactive=3d; 9 E$ }& ^% I) p! ~
proxy_cache_path /tmp/cache_dir1/www levels=1:2:2 keys_zone=danye_s:8000m max_size=2000G inactive=5d; #指定缓存的路径;levels=1:2:2 代表第一级目录有16个目录;第二级有256个,第三级也是有256个;所有活动的key和元数据存储在共享的内存区域中,这个区域用keys_zone参数指定,内存占据8000m;最大的磁盘占用空间为2000G;inactive=5d 如果在 inactive参数指定的5天内缓存的数据没有被请求则被删除;
2 s) h* ^; `: `( O7 \0 y& e+ M upstream www_demo_com #代理被调用的名称为:www_demo_com { server 192.168.1.100:8080 max_fails=3 fail_timeout=30s weight=2;
& d% @0 m' ~1 i, l: N' I" l+ Z server 192.168.1.101:8080 max_fails=3 fail_timeout=30s weight=3; #max_fails = NUMBER - 在一定时间内(这个时间在fail_timeout参数中设置)检查这个服务器是 否可用时产生的最多失败请求数,默认为1,将其设置为0可以关闭检查; , K! [" q. E5 a. ?
weight = NUMBER - 设置服务器权重,默认为1; fail_timeout = TIME - 在这个时间内产生了max_fails所设置大小的失败尝试连接请求后这个服务 器可能不可用,同样它指定了服务器不可用的时间(在下一次尝试连接请求发起之前) 5 V$ w& c2 H8 T6 |, B
} geo $whiteiplist { #白名单default 1;8.8.8.8 0;127.0.0.1 0; }map $whiteiplist $limit { 1 $binary_remote_addr;
3 ]0 p7 I5 Y# T$ B) |) | 0 "";}limit_conn_zone $limit zone=wwwperip:10m; #连接数限制limit_req_zone $limit zone=www:10m rate=50r/s; #访问速率限制 3 { [4 t8 O: E/ R# t3 [- h
server{ server_name demo.com; rewrite "^/(.*)$" http://www.demo.com/$1 permanent; access_log off; }server
3 C3 q0 l0 v* Q7 G# H+ u: f( t { listen 80; server_name www.demo.com; # 配置访问的主机名proxy_set_header Host $host; #但是如果这个字段在客户端的请求头中不存在,那么不发送数据到被代理服务器。 ' _! d! r" Q3 ^, q+ e2 q) l
这种情况下最好使用$Host变量,它的值等于请求头中的"Host"字段或服务器名,$host, 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名;proxy_set_header X-Real-IP $remote_addr; #$remote_addr, 客户端地址
3 x+ Y, C6 r( [/ a proxy_set_header X-Forwarded-For $remote_addr; #X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 0 m) j/ [1 l* U+ q8 ?: V$ S; a" D1 {
set $realip ""; if ($proxy_add_x_forwarded_for ~ "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") { set $realip $1; K" o0 A8 x7 V5 M0 z1 Q
} if ($proxy_add_x_forwarded_for = "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") { set $realip $proxy_add_x_forwarded_for; ; X1 h: T8 Z4 W% q& J/ l
} proxy_set_header ipip $realip; #proxy_set_header X-Forwarded-For $realip;proxy_set_header Accept-Encoding ;
/ }- {( }- q: E& {! A proxy_ignore_headers "Set-Cookie" "Expires" "Cache-Control" "X-Accel-Redirect" "X-Accel-Expires"; #nginx缓存分成两部分,一部分是key,一部分是value;浏览器会有个cookie等会影响key的生成值。 / e, _. J* z4 Z+ m
所以忽略掉这些cookie以及一些头部信息,使相同的页面生成的key值一样,促使命中率的提升limit_conn wwwperip 20; limit_req zone=www burst=120;limit_rate_after 500k; " M# \5 S7 a4 D7 l
limit_rate 300k;#Nginx的http核心模块ngx_http_core_module中提供limit_rate这个指令可以用于控制速度,limit_rate_after用于设置http请求传输多少字节后开始限速。
]; \& @+ P4 x5 b0 Y' h8 l 另外两个模块ngx_http_limit_conn_module和ngx_http_limit_req_module分别用于连接数和连接频率的控制location = /robots.txt {root /var/www/html/www.demo.com;。
, ^# t) J' B2 z c) J }location ~ /purge_s(/.*) { proxy_cache_purge danye_s $host$1$is_args$args; } location ~ ^/(s|g|q)([0-9]*)\.html$
, k' H" s0 H: R1 w) t3 {! f { expires 1h; # 指定浏览器缓存时间为1小时,以减少不必要的请求;proxy_cache danye_s; #指定使用哪个keys_zone;proxy_cache_valid 200 304 7d; #配置nginx cache中的缓存文件的缓存时间;对于状态为200和304的缓存文件的缓存时间是7天,7天之后再访问该缓存文件时,文件会过期,从而去源服务器重新取数据;
. n4 I9 ]. ?( m' A% V( Y7 k proxy_cache_key $host$uri$is_args$args; #以域名、URI、参数组合成Web缓存的Key值,Nginx根据Key值哈希,存储缓存内容到二级缓存目录内;proxy_hide_header Vary; #隐藏vary信息,这样,cache层就好处理多了,命中率也能有很大提升
- l9 K: U" @2 A proxy_pass http://www_demo_com; proxy_cache_min_uses 2; #多少次的查询后应答将被缓存add_header Cache "$upstream_cache_status"; 4 c% R6 Z; U1 T5 }) _% Y8 s
} location ~ ^/wap/sendVerifyCode.shtml(.*) #访问速率限制{limit_req zone=allips_2 burst=1 nodelay; proxy_pass http://www_demo_com;
& i+ P7 O" v- d* S }location ~ ^/wap/account!sendVerifyCode.do(.*) #拒绝指定地址访问{if ( $http_x_forwarded_for ~ 100.100.100.101|100.100.100.100 ){
4 S! j" ]* r4 f' ^; i, C+ t return 403;} location ~ ^/plane/app { rewrite "/plane/(.*)" /$1 break; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr;
u+ E5 h- M% ~4 S: o1 Z+ S. R proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Cookie $http_cookie; proxy_pass http://www_demo_com;
+ y' ^7 h$ y6 g3 j" | }location ~ ^/plane/ {rewrite "/plane/(.*)" /$1 break;proxy_set_header Referer $http_referer;proxy_set_header Cookie $http_cookie;
( U+ ^' f) ~: M5 A$ }+ c2 F1 m proxy_pass http://www_demo_com;}location ~ .*\.(png|gif|jpg|jpeg|bmp|ico|js|css|swf)$ #关闭图片日志记录,减少日志写入
1 w( d5 a3 n* {# h6 v- X) r. X {expires 30m;proxy_cache cache_nginx_www;proxy_cache_valid 200 304 1h;proxy_cache_valid any 1m;proxy_cache_key $host$uri$is_args$args; , w/ [$ j, G; T( b4 S9 T n0 ?9 x
proxy_redirect off;proxy_hide_header Vary;proxy_pass http://www_demo_com;add_header Cache "$upstream_cache_status";
( a S% Y9 I0 L5 J2 H access_log off;}location ~* ^/nginx-status { #开启nginx状态模块stub_status on;allow 192.168.0.0/18;deny all; ) Z( n- L" W/ R- C% k! Y$ h
access_log off;}location ~ ^/(WEB-INF)/ {deny all;}location ~ .*\.svn/(.*){deny all;}location / { proxy_pass http://www_demo_com;
- r7 ^: {0 _. r7 b. p7 w } error_page 404 500 502 /404.htm; location = /404.htm { proxy_pass http://www_demo_com; } access_log logs/www.access.log main; 7 M) |' R) r' a- N+ _. w. \5 v
error_log logs/www.error.log; }
7 @) R" W! r/ J& d- r0 L5 ^
! M$ t8 ^6 ]5 ]) {. ^+ ~
3 c8 x- k. K9 G/ q! f& q0 L Z* ^% |: u( N! `% s
1 f" N4 o( l$ N% q
| 
